<?php
$user = $_POST["user"];
$password = $_POST["password"];

login($user, $password);

function login($user, $pass){
	include '../../lib/conection.php';
	//echo "primero: " . $pass;
	//usuario y password tienen datos?
	if (empty($user)) echo "El usuario no puede estar en blanco";
	if (empty ($pass)) "La contraseña no puede estar en blanco";

	$query='SELECT id, user, password FROM usuario WHERE user="'.  mysql_real_escape_string($user).'" LIMIT 1 ';
	$resultado = mysql_query($query, $conexion) or die(mysql_error());

	$row = mysql_fetch_assoc($resultado);

	if ($row) {
		$hash=md5($pass);
		if ($hash==$row["password"]) {
			$query = "SELECT r.nombre FROM rol r, rolxusuario u WHERE r.id = u.id_rol AND u.id_usuario = " . $row["id"];
			$resultado = mysql_query($query, $conexion) or die(mysql_error());

			while ($r = mysql_fetch_assoc($resultado)){
				$roles[] = $r["nombre"];
			}

			@session_start();
			$_SESSION['USUARIO']=array('user'=>$row["user"]);
			$_SESSION['ROLES'] = array('roles'=>$roles);
		} else {
			@session_start();
			unset($_SESSION['USUARIO']); //destruimos la session activa al fallar el login por si existia
			echo "Contraseña incorrecta " . $pass . " codificada: " . md5($pass);
		}
	} else {
		//El usuario no existe
		echo "El usuario no existe";
	}



}